Product SiteDocumentation Site

8.4. Bases de dades d'usuaris i de grups

La llista d'usuaris s'emmagatzema normalment al fitxer /etc/passwd, mentre que el fitxer /etc/shadow emmagatzema les contrasenyes xifrades («hashed»). Tots dos són fitxers de text, en un format relativament senzill, que es poden llegir i modificar amb un editor de text. Cada usuari apareix en una línia amb diversos camps separats per dos punts (“:”).

NOTA Editar fitxers del sistema

Els fitxers de sistema esmentats en aquest capítol són tots fitxers de text pla, i es poden editar amb un editor de text. Tenint en compte la seva importància a la funcionalitat del sistema principal, sempre és una bona idea prendre precaucions addicionals quan s'editen els fitxers del sistema. Primer, sempre feu una còpia o una còpia de seguretat d'un fitxer de sistema abans d'obrir-lo o alterar-lo. En segon lloc, en servidors o màquines on més d'una persona podria accedir al mateix fitxer al mateix temps, feu passos addicionals per protegir-vos de la corrupció de fitxers.
Per a aquest propòsit, és suficient utilitzar l'ordre vipw per editar el fitxer /etc/passwd, o vigr per editar /etc/group. Aquestes ordres bloquegen el fitxer en qüestió abans d'executar l'editor de text, (per defecte vi, tret que s'hagi alterat la variable d'entorn EDITOR). L'opció -s en aquestes ordres permet editar el fitxer shadow corresponent.

TORNAR A LES BASES Crypt, una funció d'un sol sentit

crypt és una funció d'un sol sentit que transforma una cadena (A) en una altra cadena (B) d'una manera que A no es pot derivar de B. L'única manera d'identificar A és provar tots els valors possibles, comprovant cada un per determinar si la transformació per la funció produirà B o no. Utilitza fins a 8 caràcters com a entrada (cadena A) i genera una cadena de 13 caràcters ASCII (cadena B).

8.4.1. Llista d'usuaris: /etc/passwd

Aquesta és la llista de camps del fitxer /etc/passwd:
  • nom d'usuari, per exemple rhertzog;
  • password: és una contrasenya xifrada per una funció d'un sol sentit (crypt), que es basa en DES, MD5, SHA-256 o SHA-512. El valor especial “x” indica que la contrasenya encriptada s'emmagatzema a /etc/shadow;
  • uid: número únic que identifica cada usuari;
  • gid: número únic per al grup principal de l'usuari (Debian crea per defecte un grup específic per a cada usuari);
  • GECOS: camp de dades que normalment conté el nom complet de l'usuari;
  • directori d'inici de sessió, assignat a l'usuari per a l'emmagatzematge dels seus fitxers personals (la variable d'entorn $HOME generalment apunta aquí);
  • programa a executar en iniciar la sessió. Normalment es tracta d'un intèrpret d'ordres («shell»), que dóna llibertat a l'usuari. Si especifiqueu /bin/false (que no fa res i retorna el control immediatament), l'usuari no podrà iniciar la sessió.
Com s'ha dit abans es pot modificar aquest fitxer directament. No obstant això, hi ha maneres més elegants d'aplicar-hi canvis, i que es descriuen a Secció 8.4.3, «Modificar un compte o contrasenya ja existents».

TORNAR A LES BASES grup Unix

Un grup Unix és una entitat que inclou diversos usuaris perquè puguin compartir fàcilment fitxers utilitzant el sistema de permisos integrat (beneficiant-se dels mateixos drets). També podeu restringir l'ús de certs programes a un grup específic.

8.4.2. El fitxer de les contrasenyes ocultes i encriptades: /etc/shadow

El fitxer /etc/shadow conté els següents camps:
  • usuari;
  • contrasenya encriptada;
  • diversos camps que gestionen el venciment de la contrasenya.
Es poden fer expirar les contrasenyes utilitzant aquest fitxer o establint el moment fins que el compte quedi desactivat després que la contrasenya hagi expirat.

SEGURETAT La seguretat del fitxer /etc/shadow

/etc/shadow, a diferència del seu alter-ego, /etc/passwd, no pot ser llegit per usuaris normals. Qualsevol contrasenya xifrada («hashed») emmagatzemada a /etc/passwd és accessible per tothom; un «cracker» podria intentar “trencar” (o revelar) una contrasenya usant un dels diversos mètodes de “força bruta” que, per dir-ho simplificadament, la proven d'endevinar usant combinacions habituals de caràcters. Aquest atac — anomenat “atac de diccionari” — ja no és possible en sistemes que utilitzen /etc/shadow.

DOCUMENTACIÓ Els formats dels fitxers /etc/passwd, /etc/shadow i /etc/group

Aquests formats estan documentats en les següents pàgines man: passwd(5), shadow(5), i group(5).

8.4.3. Modificar un compte o contrasenya ja existents

Les següents ordres permeten la modificació de la informació emmagatzemada en camps específics de les bases de dades d'usuari: passwd permet a un usuari normal canviar la seva contrasenya, que al seu torn, actualitza el fitxer /etc/shadow (chpasswd permet als administradors actualitzar de cop les contrasenyes d'una llista d'usuaris); chfn («CHange Full Name» en anglès o “Canvia el nom complet”), reservat per al superusuari («root»), modifica el camp GECOS. chsh (de l'anglès «CHange SHell») permet a l'usuari canviar el seu intèrpret d'entrada; no obstant això, les opcions disponibles es limitaran a les llistades a /etc/shells; l'administrador, d'altra banda, no està vinculat per aquesta restricció i pot establir la «shell» a qualsevol programa de la seva elecció.
Finalment, l'ordre chage (de l'anglès «CHange AGE») permet a l'administrador canviar la configuració del venciment de la contrasenya (l'opció -l usuari llistarà la configuració actual). També podeu forçar l'expiració d'una contrasenya utilitzant l'ordre passwd -e usuari, que requerirà que l'usuari canviï la seva contrasenya la pròxima vegada que iniciï sessió.
A més d'aquestes eines, l'ordre usermod permet modificar tots els detalls esmentats anteriorment.

8.4.4. Desactivar un compte

Podeu trobar-vos amb la necessitat de “desactivar un compte” (bloquejar un usuari), com a mesura disciplinària, per a una investigació, o simplement en el cas d'una absència prolongada o definitiva d'un usuari. Un compte inhabilitat significa que l'usuari no pot entrar o accedir a la màquina. El compte roman intacte a la màquina i no se suprimeix cap fitxer o dada; simplement és inaccessible. Això s'aconsegueix utilitzant l'ordre passwd -l usuari («lock» o bloquejar). Tornar a activar el compte es fa de manera similar, amb l'opció -u («unlock» o desbloquejar). Això, però, només impedeix que l'usuari iniciï la sessió amb contrasenya. L'usuari encara pot accedir al sistema mitjançant una clau SSH (si està configurat). Per evitar aquesta possibilitat, també heu de fer expirar el compte fent servir chage -E 1 usuari o usermod -e 1 usuari (donant un valor de -1 en qualsevol d'aquestes ordres es fixarà la data de caducitat a mai). Per a desactivar (temporalment) tots els comptes d'usuari només cal crear el fitxer /etc/nologin.
Podeu desactivar un compte d'usuari no només bloquejant-lo com s'ha descrit anteriorment, sinó també canviant el seu intèrpret d'ordres d'inici de sessió predeterminat (chsh -s intèrpret usuari). Amb el primer paràmetre a /usr/sbin/nologin, un usuari obté un missatge cortès informant que no és possible l'inici de sessió, mentre que /bin/false només acaba al temps que retorna false. No hi ha manera per a restaurar l'intèrpret d'ordres anterior. Heu d'obtenir i mantenir aquesta informació abans de canviar la configuració. Aquests intèrprets d'ordres s'utilitzen sovint per a usuaris del sistema que no requereixen cap necessitat d'inici de sessió.

ANANT MÉS ENLLÀ NSS i les bases de dades de sistema

En lloc d'utilitzar els fitxers habituals per gestionar llistes d'usuaris i grups, podeu utilitzar altres tipus de bases de dades, com LDAP o db, utilitzant un mòdul NSS («Name Service Switch» o commutador de servei de noms) adequat. Els mòduls utilitzats es llisten al fitxer /etc/nsswitch.conf, sota les entrades passwd, shadow i group. Vegeu Secció 11.7.3.1, «Configuració del NSS» per a un exemple específic de l'ús d'un mòdul NSS per LDAP.

8.4.5. Llista de grups: /etc/group

Els grups estan llistats al fitxer /etc/group, una simple base de dades en text pla en un format similar al del fitxer /etc/passwd, amb els següents camps:
  • nom del grup;
  • contrasenya (opcional): només s'utilitza per unir-se a un grup quan un no és un membre habitual (amb les ordres newgrp o sg, vegeu la barra lateral TORNAR A LES BASES Treballar amb diversos grups);
  • gid: número únic d'identificació de grup;
  • llista de membres: llista de noms d'usuaris que són membres del grup, separats per comes.

TORNAR A LES BASES Treballar amb diversos grups

Cada usuari pot ser membre de molts grups; un d'ells és el seu “grup principal”. El grup principal d'un usuari es crea, per defecte, durant la configuració inicial de l'usuari. Per defecte, cada fitxer que crea un usuari li pertany, així com també al seu grup principal. Això no sempre és desitjable; per exemple, quan l'usuari necessita treballar en un directori compartit per un grup diferent del seu grup principal. En aquest cas, l'usuari ha de canviar el seu grup principal utilitzant una de les següents ordres: newgrp, que inicia un intèrpret d'ordres nou, o sg, que simplement executa una ordre utilitzant el grup alternatiu subministrat. Aquestes ordres també permeten a l'usuari unir-se a un grup al qual no pertany. Si el grup està protegit amb contrasenya, hauran de proporcionar la contrasenya adequada abans d'executar l'ordre.
Alternativament, l'usuari pot establir el bit setgid al directori, el qual fa que els fitxers creats en aquest directori pertanyin automàticament al grup correcte. Per a més detalls, vegeu la barra lateral SEGURETAT directori setgid i sticky bit.
L'ordre id mostra l'estat actual d'un usuari, amb el seu identificador personal (variable uid), el grup principal actual (variable gid), i la llista de grups als quals pertany (variable groups).
Les ordres addgroup i delgroup afegeixen o suprimeixen un grup, respectivament. L'ordre groupmod modifica la informació d'un grup (el seu gid o identificador). L'ordre gpasswd grup canvia la contrasenya del grup, mentre que l'ordre gpasswd -rgrup el suprimeix.

SUGGERIMENTgetent

L'ordre getent («get entries» o “obté entrades”) comprova les bases de dades del sistema de la manera estàndard, utilitzant les funcions de biblioteca apropiades, que al seu torn criden els mòduls NSS configurats al fitxer /etc/nsswitch.conf. L'ordre pren un o dos arguments: el nom de la base de dades on cercar i una clau de cerca opcional. Per tant, l'ordre getent passwd rhertzog donarà la informació de la base de dades d'usuaris sobre l'usuari rhertzog.